КРЕДО-С
CREDOS:IR/Мониторинг и SOC

Расследование инцидентов

Атака уже произошла — теперь важно понять, как именно, что утекло и как закрыть дыру. КРЕДО-С проводит форензику в течение 4 часов с момента обращения и даёт юридически значимые доказательства для суда.

Для кого: Компании, столкнувшиеся с кибератакой, утечкой данных или шифрованием. Также превентивная подготовка для субъектов КИИ

ЭкстренноеФорензикаMITRE ATT&CK
<4 часа
Начало экстренного реагирования
3-5 рабочих дней
Предварительный отчёт
1-4 недели
Полное расследование
Услуга «Расследование инцидентов» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Атака уже произошла — теперь важно понять, как именно, что утекло и как закрыть дыру. КРЕДО-С проводит форензику в течение 4 часов с момента обращения и даёт юридически значимые доказательства для суда. Категория: Мониторинг и SOC. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Атака случилась. Файлы зашифрованы, данные утекли, или в сети обнаружен чужой — что дальше? Первый инстинкт — переустановить системы и «начать с чистого листа».

Это уничтожает доказательства и не отвечает на главный вопрос: как злоумышленник попал внутрь и что именно он взял.

Специалисты КРЕДО-С подключаются в течение 4 часов. Первый шаг — консервация цифровых доказательств: снимаем образы дисков скомпрометированных систем, сохраняем дампы оперативной памяти, извлекаем логи. Всё документируется по процедурам, обеспечивающим юридическую значимость — материалы примет суд и правоохранительные органы.

Анализируем артефакты: ищем следы вредоносного ПО, аномальные сетевые соединения, несанкционированные изменения файлов, подозрительные учётные записи. Восстанавливаем точку первоначального проникновения, маршрут продвижения по сети, момент и объём эксфильтрации данных.

Вектор атаки и техники злоумышленника описываем через фреймворк MITRE ATT&CK — это позволяет атрибутировать атаку известным группировкам и сравнить с базой предыдущих инцидентов. Оцениваем масштаб: какие системы затронуты, какие данные украдены или повреждены, есть ли признаки сохраняющегося присутствия.

Итог расследования — детальный отчёт: хронология инцидента, технические детали, оценка ущерба, конкретный план усиления защиты. Для субъектов КИИ формируем пакет документов для уведомления НКЦКИ по 187-ФЗ. При утечке ПДн — данные для уведомления Роскомнадзора по 152-ФЗ.

Выявленные уязвимости учитываются при расчёте КЗИ по приказу ФСТЭК №117 — устранение причин инцидента повышает показатель при следующей оценке. Лицензия ФСТЭК с 2007 года, ФСБ с 2009, более 33 лет в информационной безопасности.

Как проходит работа

1

Экстренное подключение

Команда IR подключается в течение 4 часов. Первичная оценка масштаба, изоляция скомпрометированных систем.

2

Консервация доказательств

Снимаем образы дисков, дампы оперативной памяти, сохраняем логи. Документируем с юридической значимостью.

3

Анализ артефактов

Ищем следы вредоносного ПО, аномальные сетевые соединения, несанкционированные изменения. Восстанавливаем хронологию.

4

Атрибуция атаки

Определяем вектор проникновения, TTPs злоумышленника по MITRE ATT&CK. Оцениваем масштаб компрометации.

5

Отчёт и рекомендации

Детальный отчёт: хронология, техдетали, оценка ущерба, план усиления. Документы для НКЦКИ и РКН при необходимости.

Направления

Реагирование за 4 часа

Экстренное подключение аналитиков к инциденту — изоляция, сбор артефактов, первичный анализ

Цифровая криминалистика

Образы дисков, дампы памяти, логи — с соблюдением юридической значимости доказательств

Атрибуция по MITRE ATT&CK

Определяем вектор атаки, TTPs злоумышленника и масштаб компрометации

Рекомендации по устранению

Конкретный план действий: что закрыть, что обновить, как не допустить повторения

Что входит

  • Экстренное реагирование на инцидент и локализация угрозы
  • Сбор и консервация цифровых доказательств (образы дисков, дампы памяти)
  • Анализ индикаторов компрометации (IoC) и вредоносного ПО
  • Восстановление хронологии событий и вектора атаки
  • Атрибуция атаки по фреймворку MITRE ATT&CK
  • Оценка масштаба компрометации и утечки данных
  • Рекомендации по предотвращению повторных инцидентов
  • Взаимодействие с правоохранительными органами при необходимости

Результаты работы

Детальный отчёт о расследовании с хронологией инцидента
Перечень индикаторов компрометации (IoC) для блокировки
Описание вектора атаки и используемых техник (MITRE ATT&CK)
Оценка ущерба и масштаба компрометации
Рекомендации по усилению защиты и предотвращению повторения
Материалы для правоохранительных органов (при необходимости)
CREDOS:IR

Почему КРЕДО-С

Начало работ через 4 часа после обращения — цифровые следы не успевают исчезнуть

Юридически значимые доказательства: процедура документирования принята судами и правоохранительными органами

Атрибуция атаки по MITRE ATT&CK — понимаем, кто атаковал и какими инструментами

Предварительные результаты за 3–5 рабочих дней, полное расследование за 1–4 недели

Лицензия ФСТЭК с 2007 года, ФСБ с 2009 — более 33 лет в компьютерной криминалистике

Проекты по этой услуге

Мониторинг ИБ и защита от целевых атак в финансовой организации
Финансовый сектор
NDA
2023

Мониторинг ИБ и защита от целевых атак в финансовой организации

Мониторинг событий ИБ

Развёртывание системы мониторинга 24/7 и защиты от целевых атак на базе F.A.C.C.T. Managed XDR для крупной финансовой организации в рамках MSSP-партнёрства.

  • За год решение выявило и заблокировало более 126 500 кибератак, из них около 125 000 пришлись на сетевые атаки и более 700 относились к атакам на хосты
  • Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
  • Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Подробнее о кейсе

Другие услуги

Мониторинг и SOC

Мониторинг событий ИБ (SOC)

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты за 15 минут и реагирует круглосуточно.

24/7ГосСОПКАКИИФСТЭК
  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 4...
Подробнее
Мониторинг и SOC

MSSP-услуги

Собственный SOC стоит от 10 млн в год — оборудование, лицензии, три смены аналитиков. MSSP от КРЕДО-С даёт тот же уровень защиты от 50 000 ₽/мес без капитальных затрат и найма.

MSSP24/7КИИ
  • Managed XDR на платформе F.A.C.C.T. (F6)
  • SIEM как сервис (RuSIEM, MaxPatrol SIEM, KUMA)
  • ViPNet IDS в связке с системой анализа угроз TIAS
  • WAF как сервис для защиты веб-приложений
  • и ещё 4...
Подробнее
Пентест и киберучения

Тестирование на проникновение

Пентест внешнего и внутреннего периметра, веб-приложений и мобильных сервисов по методологии Black/Gray/White Box. Реальная эксплуатация уязвимостей с доказательствами и оценкой ущерба.

OWASPRed TeamФСТЭК
  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • и ещё 4...
Подробнее

Актуально для отраслей

Финансовый секторЗдравоохранениеТорговля и ритейл

Часто задаваемые вопросы

Когда нужно расследование инцидентов?
Расследование необходимо при любом подозрении на компрометацию: утечке данных, обнаружении вредоносного ПО, несанкционированном доступе к системам, шифровании файлов. Чем раньше начинается расследование, тем больше цифровых следов удаётся сохранить.
Что включает цифровая криминалистика?
Цифровая криминалистика (форензика) включает снятие образов дисков, сохранение дампов оперативной памяти, извлечение и анализ логов, поиск индикаторов компрометации, восстановление хронологии действий злоумышленника и атрибуцию атаки по фреймворку MITRE ATT&CK.
Сколько времени занимает расследование инцидента?
Экстренное реагирование начинается в течение 4 часов. Полное расследование занимает от 1 до 4 недель в зависимости от масштаба инцидента и количества затронутых систем. Предварительные результаты с ключевыми выводами предоставляются в первые дни.
Можно ли использовать результаты расследования в суде?
Да. Все действия документируются с соблюдением процедур, обеспечивающих юридическую значимость доказательств. При необходимости КРЕДО-С взаимодействует с правоохранительными органами и предоставляет материалы для возбуждения уголовных дел.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 15 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC